GMB - O que é LGPD?
André Gustavo Sales Damiani / Marina de Almeida Santos Dias - LGPD significa Lei Geral de Proteção de Dados. Ela foi editada e aprovada pelo Congresso Nacional em 2018, como resposta à demanda do mercado internacional pela preservação da liberdade, da intimidade e da privacidade daquelas pessoas físicas que confiam os seus dados a terceiros, sobretudo em ambientes virtuais.
A fim de acreditar o Brasil como parceiro de negócios íntegro e confiável, nosso legislativo se inspirou na lei europeia (General Data Protection Regulation – GDPR) para disciplinar as operações com dados de pessoas físicas.
O “tratamento de dados pessoais”, assim definido pela LGPD, compreende, portanto, toda a forma de coleta, armazenamento, compartilhamento e eliminação de dados de pessoais naturais. A lei ainda exige o consentimento do titular e a clara delimitação da finalidade do tratamento dos dados, estabelecendo rigorosos padrões de proteção, com exigências técnicas que passam, invariavelmente, por soluções em tecnologia da informação, gestão de processos e governança corporativa.
O que é dado pessoal para a LGPD?
Engana-se quem pensa que dado pessoal é apenas o nome ou o número do RG ou do CPF. Na verdade, “dado pessoal” é toda e qualquer informação que permita identificar uma pessoa física, assim entendidos os históricos de apostas, dados financeiros ou hábitos de consumo, por exemplo.
Quem está sujeito à LGPD?
Estão sujeitas à disciplina da LGPD as pessoas naturais ou jurídicas de direito público ou privado (independentemente de sua nacionalidade ou do país de sua sede), que realizem tratamento de dados pessoais com o objetivo de ofertar ou fornecer bens ou serviços a indivíduos brasileiros e/ou situados em território nacional.
A LGPD está em vigor? Qual o prazo fatal para a conformidade legal?
O prazo é agora. A LGPD já está em vigor. Contudo, a Autoridade Nacional de Proteção de Dados somente poderá impor as sanções administrativas previstas a partir de agosto de 2020.
Se o meu negócio ainda não está preparado, qual o tamanho do risco?
A proteção aos dados de pessoas físicas não é novidade na legislação brasileira. Nossa Constituição Federal resguarda, desde 1988, a privacidade e a intimidade de todos os cidadãos. Com base nela, as normas vigentes, tais como o Código de Defesa do Consumidor, o Código Civil e o Marco Civil da Internet, já asseguram a reparação dos danos oriundos da violação de dados (indenização). Em casos extremos, o vazamento dessas informações ou a má gestão dos dados pode, inclusive, repercutir na esfera criminal.
Não bastasse tudo isso, a partir de agosto de 2020, a LGPD permitirá a imposição de sanções administrativas a quem deixar de observar as melhores práticas de governança de dados e proteção da privacidade. Assim, aqueles que não se adequarem aos standards legais de prevenção estarão sujeitos também a penalidades administrativas diversas, conforme a complexidade da infração, podendo sofrer com multa de até 2% (dois por cento) do faturamento da empresa, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por ocorrência, sem prejuízo do citado dever de reparação já previsto pelo ordenamento jurídico brasileiro.
Qual o impacto da lei no mercado de apostas esportivas?
A exposição dos empresários do mercado de apostas esportivas é especialmente delicada. Um, porque a atividade - recém regulada pelo Congresso Nacional - depende de licenciamento periódico das autoridades competentes, fato esse que torna a verificação da conformidade à LGPD tema recorrente e sensível à fiscalização estatal. Dois, porque a exploração eficiente desse segmento pressupõe o tratamento correto de dados críticos dos apostadores, tais como informações bancárias, patrimoniais, histórico de relacionamento comercial etc.; cujas particularidades serão determinantes na fixação de maiores indenizações em juízo ou fora dele (ANPD). Por fim, não menos importante, cumpre destacar que o potencial vazamento representará grave abalo reputacional, especialmente, num segmento em que vários apostadores escolhem permanecer anônimos aos olhos de terceiros.
Qual a solução mais eficiente? Derrubando mitos...
MITO: minha empresa já está em conformidade com a lei europeia, logo não preciso me preocupar com a LGPD...
Muito embora a LGPD reproduza muitas das normas contidas na lei de proteção de dados europeia (denominada General Data Protection Regulation ou GDPR), a conformidade com as diretrizes internacionais não implica, necessariamente, em aderência à legislação brasileira. Isso porque o comportamento e a cultura corporativa dos europeus nem de longe se assemelham à nossa. No Brasil, a economia é fortemente impactada pela imprevisibilidade das manifestações do judiciário e das autoridades reguladoras, tornando-se obrigatória, portanto, a documentação da boa-fé empresarial por meio de mecanismos de controle eficientes, voltados à conscientização dos colaboradores sobre as melhores práticas LGPD.
MITO: isso é coisa para o T.I. resolver...
A abordagem do problema LGPD sob o viés exclusivamente tecnológico não funcionará. Isso porque a tradução das exigências legais para o ambiente corporativo (sobretudo para o mercado de apostas esportivas) exige expertise jurídica, que deverá se integrar às ferramentas de T.I. e aos mecanismos de governança, no propósito de compor a solução completa, efetiva e duradoura.
MITO: basta implementar um software que o problema está resolvido...
Ferramentas tecnológicas são, sem dúvida, um grande aliado do programa de governança de dados eficiente, embora não resolvam o problema de forma isolada. Para que o investimento nesse recurso seja convertido em benefícios para o empresário de apostas, é essencial o suporte de uma equipe multidisciplinar apta a mapear as características desse segmento de mercado e recomendar produtos alinhados à estratégia de enfrentamento do problema e às necessidades da organização. Além disso, vale ressaltar que a maior ameaça aos dados controlados pelo empresário não está na possibilidade de invasão dos sistemas corporativos e sim na má gestão dos fluxos e processos internos impactados pela lei.
MITO: o jurídico interno possui todas as ferramentas para resolver o problema e continuar atendendo às demandas gerais e rotineiras...
A solução caseira, apesar de parecer atraente, não é a melhor. Como já ressaltado acima, o enfrentamento do desafio LGPD pressupõe disponibilidade de tempo para planejamento e execução do projeto, multidisciplinariedade e especialidade dos advogados envolvidos no projeto.
Solução
Uma vez desconstruídos alguns mitos a respeito da LGPD, a verdade é que o desafio da conformidade exige uma abordagem customizada e multidisciplinar, com integração de soluções jurídicas e tecnológicas para compor um plano de ação sólido e alinhado às características do mercado de apostas e da organização. Cada empresa deve implementar uma política de proteção de dados adequada à sua exposição e à cultura que rege seu ambiente, estimulando os comportamentos esperados e fortalecendo os controles internos.
Diante disso, o primeiro passo é identificar as fragilidades internas em relação às exigências da lei brasileira, para, a partir delas, criar mecanismos de correção e prevenção de irregularidades no tratamento dos dados pessoais para todas as áreas da operação impactadas (“Assessment”).
Identificado o problema de forma detalhada, com certeza serão necessárias, pelo menos, dez entregas essenciais na busca da conformidade LGPD:
1. mapeamento do risco;
2. implementação de programa de governança de dados;
3. integração da estratégia jurídica com as soluções praticadas em T.I.;
4. revisão dos processos internos impactados pela lei;
5. recomendações para a implementação de um programa de segregação de funções e determinação de cadeia de responsabilidades;
6. atribuição de bases legais e gestão de logs de consentimento;
7. eleição conjunta de responsável pela gestão do programa de governança de dados (encarregado);
8. treinamento, conscientização e capacitação dos colaboradores envolvidos;
9. documentação da “boa-fé” empresarial;
10. possibilidade de suporte para melhoria contínua e gestão de crise.
Conclusão
Não há milagre. É preciso direcionar esforços e investimento no sentido de se contratar apoio multidisciplinar e customizado de profissionais com experiência voltada ao problema que permeia todos os setores da empresa e cuja solução transformará o modus operandi do mercado de apostas esportivas no Brasil.
Fonte: Games Magazine Brasil